웹 보안 솔루션 도입시 필수 고려 사항

Web Security Solution All Guide

Chapter 3. 웹 보안 전문가 노하우 훔쳐보기

설계·구축 단계에서 정보보호 고려해야

최근 시스템 및 네트워크 해킹에서 웹 애플리케이션의 취약점이나 웹 사이트 구축 시 개발자의 실수나 미처 고려하지 못했던 부분을 이용하는 웹 해킹이 매우 빈번하게 발생하고 있다. 예전에는 대부분의 공공기관 및 기업체들은 외부로부터 내부의 데이터를 보호할 수 있는 네트워크 계층의 접근 통제 보안 솔루션을 많이 도입했었는데 불가피하게 오픈을 해야 서비스를 제공할 수 있는 80포트까지 제어를 할 수 없었다.

그래서 등장한 것이 80포트를 제어하고 지식기반의 패턴 매칭을 통한 침투 시도를 차단하는 웹 방화벽 장비이다. 현재 국내 CC인증 및 보안성 검증을 진행중인 웹 방화벽과 시중에 현재 판매되고 있는 웹 방화벽 장비까지 약 10여개가 있다. 그러나 무작정 이러한 솔루션을 구축한다고 해서 웹 애플리케이션을 통한 해킹을 방지한다고 생각하면 큰 오산이다.

웹 방화벽은 알려진 대부분의 해킹 시도를 차단하는 것은 맞지만 웹 애플리케이션의 설계 시 취약한 소스에 대해서는 방어를 할 수 없기 때문이다. 대표적인 공격방법이 URL을 통해 강제로 접근하는 URL 강제 접속이라는 공격 방법이다. 이러한 공격이 성공할 시 타인의 글을 지우거나 악의적으로 수정을 하거나 메인 페이지의 공지사항을 조작하여 입금 계좌번호를 공격자의 계좌로 바꿔 치기를 하는 등 발생하는 피해 유형은 셀 수 없을 정도로 다양하다. 이 외에도 쿠키를 바꿔치기 하는 등 여러 가지 공격 기법이 있지만 근본적인 취약점의 원인은 잘못 설계된 웹 애플리케이션의 로직이다.

이러한 취약점을 최소한으로 줄이는 방법에는 웹 방화벽을 도입하기 전에 외부 보안 컨설턴트를 활용해서 웹페이지의 취약점을 미리 진단 받고 진단 후 드러나는 취약점에 대해 수정을 하고 대책을 마련한 후 웹 방화벽을 도입하는 것이 가장 추천하는 방법이다. 물론 회사 내부에서 개발자들이 보안 가이드 라인을 참고해서 자체 진단하는 방법도 있지만, 자신이 직접 코딩한 소스를 역으로 생각해서 취약점을 발견하는 것은 좋은 방법도 아닐뿐아니라 오히려 리소스를 낭비하는 결과를 초래할 수 있기 때문에 외부의 숙달된 컨설턴트를 활용하여 진단하는 것이 시간적인 측면이나 내용적인 측면에서 훨씬 효율적이다.

그 밖에 보안 솔루션을 도입하려는 기업은 제일 먼저 자신의 시스템에 가장 알맞은 보안 솔루션이 무엇인지, 리스크를 평가를 꼭 해야만 한다. 주로 개인 정보를 많이 가지고 있는 기업에서는 고객 정보의 DB를 암호화 시켜서 저장할 수 있는 DB 보안 솔루션이 리스크를 가장 많이 줄여줄 것이고 인터넷 쇼핑몰을 운영중인 기업에서는 고객의 신용카드 정보나 거래 정보가 안전하게 거래될 수 있게 해주는 SSL 통신을 구축하는 것이 비용대비 가장 효과적인 결과를 나타낼 수 있다.

웹 사이트는 인터넷을 통해 누구에게나 오픈이 되어 있는 공간이다. 대부분의 웹 사이트들은 DB 연동을 통해 금전적으로 환산할 수 없는 중요한 정보를 담고 있기 때문에 금전적인 목적을 노린 해커들에게는 좋은 먹잇감이 될 수 밖에 없다. 이처럼 웹 사이트의 활용빈도가 점점 증가하는 추세에 더욱더 중요한 정보들이 늘어나고 있는 이상 웹 해킹에 대한 공격도 점점 늘어나갈 것이다.

하지만 대부분의 개발자 및 관리자들은 자신의 웹 사이트 보안에 대한 중요성을 인지하지 못하고 그저 남의 일이라고만 생각을 하고 있어 지금 이 시간에도 수많은 사이트들이 해킹에 피해를 입고 있을 것이다. 해킹을 당한 관리자들은 자신의 웹 사이트가 해킹을 당했는지 인지도 하지 못하고 넘어가는 경우도 많은데 Zone-H 라는 사이트를 들려 해킹 사실이 있는지 주기적으로 검토하고 만약 이러한 가용 인원이 부족할 경우 외부 보안 관제업체에 365일 관제를 대행하는 것도 한 가지 방법일 수 있다.

비용 효율적으로 안전한 웹 사이트를 구축하기 위해서는 구축 이후가 아닌 설계·구축 단계에서 먼저 정보보호를 고려하고 개발 이후 더나아가 SSL 통신, DB보안, 웹 방화벽 도입 등의 지속적인 보안을 해야 취약점에 대응할 수 있다.

<글·박종성 NSHC연구원(jspark@nshc.net)>

[정보보호21c (info@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)